23.9.2014 Kyberturvallisuuskatsaus 3/2014
Sisällysluettelo Johdanto... 3 Tietoturva tilastojen valossa... 4 1 Autoreporter... 4 1.1 Haittaohjelmahavainnot... 4 1.2 Haittaohjelmahavainnot eri teleyritysten verkoissa... 6 2 Havaro... 6 3 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot... 7 4 Viestintäverkkojen toimivuuden häiriötilanteet... 9 Ohjaus ja valvonta... 13 5 SOPIVA-suositukset... 13 6 Telekaapelitietojen digitalisointiaste ja tietojen käsittelyn tietoturva... 13 Ajankohtaiset tietoturvailmiöt... 14 7 Windows XP -käyttöjärjestelmän suosio laskee tasaista vauhtia... 14 8 Maaliskuussa alkanut tietojenkalastelukampanja on päättynyt... 14 9 Kohdistettujen haittaohjelmien uhka otettava vakavasti... 15
Johdanto Viestintäviraston Kyberturvallisuuskeskuksen 3. osavuosikatsaus käsittelee viestintäverkkojen häiriöitä, tietoturvapoikkeamia ja tapahtumia 1.6.2014 31.8.2014. Kyberturvallisuuskatsaus on jaettu kolmeen osaan: Tietoturva tilastojen valossa, ohjaus ja valvonta ja Ajankohtaiset tietoturvailmiöt. Tietoturva tilastojen valossa käsittelee viestintäverkon toimivuuden häiriötilanteita, teleyritysten tietoturvailmoituksia, Autoreportertilastoja, HAVARO -tilastoja sekä Kyberturvallisuuskeskuksen käsittelemiä yhteydenottoja. Ohjaus ja valvonta -osuudessa nostetaan esiin Kyberturvallisuuskeskuksen valvonnassa olevien säädösten uudistuksia. Käsiteltävältä ajanjaksolta osavuosikatsaukseen on poimittu seuraavat merkittävät tietoturvailmiöt: 1) Windows XP - käyttöjärjestelmän tuotetuen loppuminen ja siihen liittyvä päivitetty Windows XP:n yleisyystilasto, 2) tietojenkalastelukampanja, jossa verkkorikolliset yrittivät saada käsiinsä muun muassa verkkopankkitunnuksia Tullin, Itellan, perintäpalveluiden ja Matkahuollon nimissä sekä 3) kohdistettujen hyökkäysten kasvaneesta uhkasta. Aiemmin tänä vuonna on julkaistu kaksi Kyberturvallisuuskatsausta: Kyberturvallisuuskatsaus 1/2014 (1.12.2013-28.2.2014): https://www.viestintavirasto.fi/ tietoatoimialasta/katsauksetjaarti kkelit/tietoturva-artikkelit/ kyberturvallisuuskatsaus12014.h tml Kyberturvallisuuskatsaus 2/2014 (1.3.-31.5.2014): https://www.viestintavirasto.fi/ tietoatoimialasta/katsauksetjaarti kkelit/tietoturva-artikkelit/ kyberturvallisuuskatsaus22014.h tml 3
Tietoturva tilastojen valossa 1 Autoreporter Autoreporter on Kyberturvallisuuskeskuksen tuottama palvelu, joka kokoaa yhteen suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Autoreporter on ollut käytössä vuodesta 2006 lähtien, ja sen piiriin kuuluu kaikki suomalaiset verkkoalueet. Sen avulla kerättyjen tilastojen perusteella voidaan arvioida muun muassa suomalaisissa verkoissa esiintyneiden haittaohjelmien esiintymistiheyttä. 1.1 Haittaohjelmahavainnot Autoreporter käsitteli kesä-elokuussa 16 547 havaintoa (Kuva 1). Tämä on huomattavasti vähemmän kuin vuoden edellisissä kvartaaleissa. Esimerkiksi vuoden 2014 ensimmäisellä kvartaalilla Autoreporter käsitteli 197 602 havaintoa. Osaltaan havaintojen laskemiseen on vaikuttanut teleyritysten parantunut kyky poistaa havaittuja tietoturvapoikkeamia verkosta. Taulukko 1. Autoreporter-järjestelmän tekemät havainnot vuosittain Vuosi 2014 tammi-kesäkuu Havaintoja 177160 2013 492426 2012 184125 Autoreporterin välittämien haittaohjelmahavaintojen jakauma kuluneella vuosineljänneksellä on piirretty oheiseen kuvaajaan (Kuva 2). ZeroAccess-haittaohjelman havainnot ovat laskeneet alkuvuoteen verrattuna, mutta se on edelleen yleisin haittaohjelma. Viikolla 35 kaikista Autoreporterin tekemistä havainnoista 37 % oli ZeroAccess-havaintoja. Seuraavaksi yleisimpiä haittaohjelmia olivat Zeus 17 %:n ja Conficker 16 %:n osuuksilla. Autoreporterin havaitsemien haittaohjelmien lukumäärän vaihteluista ei kuitenkaan voi tehdä kovin tarkkoja päätelmiä, koska ajanjaksojen väliset erot saattavat johtua esimerkiksi uusista tietolähteistä tai tietolähteisiin lisätyistä uusista haittaohjelmien tunnistetiedoista. 4
Kuva 1. Autoreporter-havainnot kvartaaleittain (Huom! 1. kvartaali alkaa 1.12.) Kuva 2. Autoreporterin käsittelemät tapahtumat viikoittain. 5
1.2 Haittaohjelmahavainnot eri teleyritysten verkoissa Haittaohjelmahavaintojen jakautuminen eri teleyritysten verkkojen välillä on tasaantunut kolmannen vuosineljänneksen aikana (Kuva 3). Alkuvuodesta yhden teleyrityksen verkosta oli lähtöisin noin 85 % kaikesta haittaohjelmaliikenteestä. Kuluneella havainnointijaksolla vastaava luku on 37 %. Kyseessä olevan teleyrityksen toiminta on merkittävästi parantunut alkuvuoteen verrattuna. On luonnollista, että haittaohjelmien havaintomäärissä on eroavaisuuksia, koska teleyritysten asiakasmäärät ja niiden omat aktiiviset toimet haittaohjelmien torjumiseksi vaihtelevat. Kuva 3. Tietoturvapoikkeamien jakauma eri teleyritysten välillä 1.6.-31.8.2014 (Häiriötapahtumiin liittyvät tarkemmat teleyrityskohtaiset tiedot ovat useimmiten salassa pidettäviä viranomaisen toiminnan julkisuutta koskevan lain perusteella.) 2 Havaro HAVARO on huoltovarmuuskriittisille yrityksille suunnattu tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä. Järjestelmä on toteutettu yhdessä Huoltovarmuuskeskuksen kanssa. HAVARO-järjestelmällä on keskeinen rooli, kun halutaan luoda yhä tarkempaa tilannekuvaa suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. Alla olevaan kuvaan (Kuva 4) on koottu HAVARO-järjestelmän tekemät havainnot vuoden ajalta. Punaiset tietoturvapoikkeamat aiheuttavat välittömiä jatkotoimia, keltaiset poikkeamat raportoidaan asiakkaalle kerran viikossa ja vihreiden poikkeamien ei katsota aiheuttavan merkittävää uhkaa organisaatiolle. 6
HAVARO-järjestelmän tekemien havaintojen määrä on kasvanut viime vuodesta, koska järjestelmään on lisätty uusia asiakkaita ja havainnointimenetelmiä. Punaisia havaintoja oli kesäkuun ja elokuun välisellä ajanjaksolla yhteensä 385. Vuoden 2014 alusta alkaen punaisia havaintoja on tullut keskimäärin 178 kuukaudessa. Kuvassa 3 näkyvä huhtikuinen vihreiden havaintojen piikki johtuu Heartbleed-havainnoista sekä DNSprotokollaa hyödyntävien hajautettujen palvelunestohyökkäysten takaisinsironnasta. Puolestaan toukokuussa yksittäinen exploit kit -kampanja nosti keltaisten havaintojen määrää. Kuva 4. HAVARO-järjestelmän tekemät havainnot kuukausittain 3 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot Määräyksen 57 mukaan teleyritykset ovat velvollisia raportoimaan Viestintävirastolle merkittävistä viestintäverkon häiriöistään. Kesä-elokuussa näitä ilmoituksia toimitettiin virastoon yhteensä 38. Suuri osa häiriöistä johtui kesälle ajoittuneista maanrakennustöistä, jotka katkoivat kaapeleita ympäri Suomea. Heinäkuun lopussa puhjennut Helenamyrsky aiheutti pienempiä viestintäverkon katkoksia, mutta suurilta vahingoilta vältyttiin. Määräyksen 9 (SVTsL 21 ) mukaisia ilmoituksia tietoturvaloukkauksista tuli ajanjaksolla kaksi. 7
Kesä- ja elokuun aikana Kyberturvallisuuskeskuksen päivystäjä kävi viikoittain läpi keskimäärin 65 yhteydenottoa. Valtaosa yhteydenotoista liittyi yleiseen tietoturvaneuvontaan (Kuva 5). Neuvonnan lisäksi myös haittaohjelmat ja ns. social engineering eli käyttäjien manipulointi aiheuttivat paljon yhteydenottoja. Kun tarkastellaan yhteydenottoja viikkotasolla (Kuva 6), heinä- ja elokuussa yhteydenottoja tuli jonkin verran vähemmän kuin kesäkuussa. Kokonaisuutena mennyt kesä ei kuitenkaan ollut merkittävästi muuta vuotta rauhallisempi. Kuva 5. Kyberturvallisuuskeskuksen käsittelemien yhteydenottojen jakauma 1.6.- 31.8.2014 8
Kuva 6. Kyberturvallisuuskeskuksen käsittelemät yhteydenotot, viikot 21-35 4 Viestintäverkkojen toimivuuden häiriötilanteet Viestintävirasto seuraa viestintäverkkojen ja -palvelujen toimivuutta teleyrityksiltä kerättävillä neljännesvuosikyselyillä. Vuoden 2014 huhti-kesäkuussa teleyritykset raportoivat yhteensä hieman yli 54 000 asiakkaan ilmoittamasta häiriöstä. Määrä on noussut hieman vuoden ensimmäisestä neljänneksestä, jolloin häiriöitä raportoitiin 50 000. Asiakasyhteydenotoista suurin osa (57 %) liittyi yhä internetyhteysongelmiin (Kuva 7). Seuraavaksi eniten asiakkaat reklamoivat matkaviestinverkon yhteysongelmista (14 %) ja kolmanneksi kaapeli-tv:n häiriöistä (10 %). Määrät eivät ole merkittävästi muuttuneet edellisestä tarkastelujaksosta. Alle kuudessa tunnissa korjattujen häiriöiden määrä on yleisesti hieman pienentynyt (Kuva 8). Esimerkiksi kiinteiden datayhteyksien vioista 22 % korjattiin alle 6 tunnin kuluessa, kun alkuvuonna vastaava luku oli noin 25 % (Kuva 9). Toisaalta kiinteiden datayhteyksien vikoja on korjausajat ovat pysyneet molemmilla seurantajaksoilla lähes samana (noin 65 %). Tarkastelujakson aikana teleyritykset korjasivat yli 70 % matkapuhelinverkon puhe/data-yhteyksien, kaapeli-tv:n ja muiden langattomien verkkojen vikoja kahden vuorokauden kuluessa (Kuva 9). Matkapuhelinverkon pelkkää datayhteyttä koskevista vioista yli 80 % saatiin korjattua 2 vuorokauden kuluessa. Lisä- ja VoIP-palveluvikojen korjaus oli muita palveluita hitaampaa. Noin puolet näiden vikojen korjauksista kesti yli 2 päivää (Kuva 9). Lisäpalveluissa myös yli viikon kestäviä ongelmia on ilmoitettu selkeästi enemmän edelliseen tarkastelujaksoon verrattuna. 9
Kuva 7. Asiakkaiden ilmoittamien häiriöiden osuudet palveluittain huhti-kesäkuussa 2014 10
Kuva 8. Häiriöiden lukumäärät ja kestot kvartaaleittain. Osassa häiriöistä häiriön kestoa ei ole ilmoitettu. 11
Kuva 9. Häiriöiden kestojen jakauma kvartaaleittain niiden häiriöiden osalta, joiden kesto on tiedossa 12
Ohjaus ja valvonta 5 SOPIVA-suositukset Elinkeinoelämän ja julkishallinnon yhteistyönä on laadittu ns. SOPIVAsuositukset toiminnan jatkuvuuden hallintaa varten. Suositusten hallinnointi siirtyy osittain Viestintäviraston vastuulle 2014. SOPIVA-hankkeessa on kehitetty yrityksille ja julkishallinnon organisaatioille työkaluja, joilla kehitetään toimintavarmuutta kaikenlaisten tilanteiden varalle. Samalla huolehditaan nyky-yhteiskunnan toiminnan jatkumisesta. Kyberturvallisuuskeskuksessa on kerätty SOPIVA-suosituksiin liittyvää materiaalia kesä-heinäkuussa myöhemmän työskentelyn perustaksi. 6 Telekaapelitietojen digitalisointiaste ja tietojen käsittelyn tietoturva Viestintävirasto on selvittänyt eduskunnan käsittelyssä olevaan tietoyhteiskuntakaareen (TYK) ja sen Viestintävirastolle antamiin määräyksenantovaltuuksiin liittyen (242, Telekaapeleiden sijaintia koskevien tietojen saatavuus ja tietoturva) telekaapeleiden sijaintitietojen (kaapelitietojen) tämänhetkistä digitalisointiastetta ja kaapelitietojen käsittelyn tietoturvaa. Selvityksen perusteella kuitukaapeleiden sijaintitiedot ovat jo lähes 100 %:sti digitaalisessa muodossa ja tietojen käsittelyn tietoturva on hyvällä tasolla. Kaapelitietojen tallennusformaatteja on käytössä muutamia erilaisia, mutta niiden muuntaminen yhteen formaattiin on suhteellisen helppoa mm. ns. laajakaistadirektiivin implementointia ajatellen. Näin ollen Viestintävirastolla ei ole välitöntä määräyksenantotarvetta em. TYKin säädöksen osalta. 13
Ajankohtaiset tietoturvailmiöt 7 Windows XP -käyttöjärjestelmän suosio laskee tasaista vauhtia Microsoft lopetti Windows XP -käyttöjärjestelmän tuotetuen 8.4.2014. Elokuussa Windows XP -tietokoneiden osuus oli 6,9 % kaikista Windowsia käyttävistä tietokoneista, joilla on selattu mittauksessa mukana olevia verkkosivustoja (Kuva 10). Vuoden 2014 tammi-elokuussa Windows XP -koneiden osuus on vähentynyt 58,4 %. Viestintäviraston Kyberturvallisuuskeskus suosittelee käyttämään sellaista käyttöjärjestelmää, jonka tietoturvaa ylläpidetään vastaisuudessakin. 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 26,9% 16,5% 15,4% 13,8% 11,0% 9,3% 8,5% 7,6% 6,9% 0,0% Windows 7 Windows XP Windows Vista Windows 8 ja 8.1 Muut Kuva 10. Yleisimmillä suomalaisilla verkkosivuilla vierailevien Windows -käyttöjärjestelmien jakauma. Kuvaajaan on merkitty Windows XP:n prosenttiosuudet. Lähde: TNS Metrix 8 Maaliskuussa alkanut tietojenkalastelukampanja on päättynyt Helsingin poliisilaitoksella oli selvitettävänään alkuvuodesta 2014 käynnistynyt tietojenkalastelukampanja, joka oli kohdistettu suomalaisiin verkkopankin käyttäjiin. Kampanjan takana epäillään olleen suomalainen tekijä, jonka avulla huijaussivustot oli laadittu uskottaviksi. Huijarit lähestyivät uhrejaan poikkeuksellisesti tekstiviestein, joilla varoitettiin erääntyvästä laskusta ja siitä seuraavasta maksuhäiriömerkinnästä. Ulkomailta käsin toimivat huijarit onnistuivat saamaan joitakin satoja tuhansia euroja, pääsääntöisesti ottamalla pikavippejä haltuunsa saamien pankkitunnusten avulla. Pikavippirahat siirrettiin 14
rahamuulien avulla varsinaisille tekijöille. Helsingin poliisi pidätti loppukesästä huijauskampanjan pääepäilyn Tallinnassa. Tämän jälkeen huijaussivustoja pystytti vielä toinen henkilö, joka otettiin kiinni muutaman viikon päästä. Molemmat epäillyt on vangittu käsittelyn ajaksi. Viestintäviraston Kyberturvallisuuskeskus osallistui rikoskampanjan torjuntaan. Huijauksiin käytettyjä verkkosivustoja ja verkkotunnusten (domain-nimi) esiintymistä seurattiin sekä huijaussivustoiksi tiedetyistä lähetettiin irtikytkentäpyyntöjä sivustojen ja verkkotunnusrekisterien ylläpitäjille. Irtikytkentäpyyntöjä noudatettiin hyvin, sillä viive pyynnön lähettämisestä sivuston poistumiseen vaihteli minuuteista tunteihin. Sivustojen poistaminen verkosta hidasti rikollisten toimintaa ja pakotti heidät lähettämään yhä uudelleen uusia tietojenkalasteluviestejä uusilla osoitteilla. Yhteensä eri paikoissa sijaitsevia huijaussivustoja poistettiin 23 ja kampanjassa käytettyjä verkkotunnuksia 55. Kuva 11. Viestintäviraston tiedossa olevat tietojenkalastelukampanjassa hyödynnetyt sivustot ja verkkotunnukset 9 Kohdistettujen haittaohjelmien uhka otettava vakavasti Kohdistettuja haittaohjelmahyökkäyksiä on paljastunut viime vuosina yhä enemmän. Kohteena ovat olleet pääasiassa valtiolliset organisaatiot ja kriittisen infrastruktuurin yritykset, mutta hyökkäyksen uhka voi tulla ajankohtaiseksi myös muille toimijoille esimerkiksi alihankintaketjujen kautta. 15
Elokuussa Kyberturvallisuuskeskus julkaisi raportin kohdistetuista haittaohjelmahyökkäyksistä. Sen tarkoituksena on lisätä tietoisuutta, parantaa suojausta ja lisätä kansallista yhteistyötä kohdistettujen haittaohjelmahyökkäysten uhkan torjunnassa. Raportti on jaettu kolmeen osioon, joista ensimmäisessä kerrotaan, mitkä organisaation tekijät altistavat ja mahdollistavat kohdistetun hyökkäyksen organisaatioon (Kuva 12). Lisäksi kerrotaan yleispiirteet kohdistetun haittaohjelmahyökkäyksen toteutuksesta ja toiminnasta organisaation verkossa (Kuva 13). Tarkoituksena on avustaa tunnistamaan organisaatiokohtaiset riskit ymmärtämällä kohdistettujen haittaohjelmahyökkäysten motiiveja ja toimintaperiaatteita. Toisessa osiossa keskitytään kohdistettujen haittaohjelmien havainnointikyvyn nykytilanteeseen Suomessa. Kyberturvallisuuskeskuksen näkemyksen mukaan suomalaisissa organisaatioissa kohdistettujen hyökkäysten havainnointikyky on yleisesti heikko ja oletettavasti on tapauksia, joita ei ole kyetty havaitsemaan. Tiedonvaihto havainnoista ja suojautumisesta onkin tarpeen parantaessa yleisesti suomalaisten organisaatioiden havainnointikykyä. Lisäksi osiossa arvioidaan mahdollisia kohdistettujen hyökkäysten tulevaisuuden kehitystä ja tuodaan esille 10 tärkeintä oppia, jotka toteutuneista tapauksista on kyetty poimimaan yleiseksi hyödyksi. Viimeisessä osiossa keskitytään kohdistettujen hyökkäysten vaikutuksilta suojautumiseen eri vaiheissa. Huomioon on otettava ennaltaehkäisy, havainnointi, reagointi ja tarvittaessa toipuminen. Kyberturvallisuuskeskukselta on lisäksi saatavilla APT-ohje niille organisaatioille, joilla on selkeä riski tai syytä vahvasti epäillä kohdistetun haittaohjelman kohteeksi joutumista. Raportti perustuu suomalaisten viranomaisten kokemuksiin, yhteistyöverkostojen kautta saatuihin näkemyksiin ja julkisiin raportteihin. Raportti on laadittu yhteistyössä Suojelupoliisin ja Puolustusvoimien kanssa. Lisäksi raporttia varten on kohdistettuja haittaohjelmatapauksia käsitelevistä tietoturvayhtiöistä vastannut F-Secure, Nixu ja nsense. 16
Kuva 12 Kohdistetun hyökkäyksen altistavat ja mahdollistavat tekijät Kuva 13. Esimerkki kohdennetun haittaohjelman toiminnasta verkossa 17
Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi